Континент АП (Continent 3 MSE Filter) и принтер

DVMakc

New member
Сообщения
9
#1
Ребят, подскажите, что делаю не так:
Имеем две машины на Астре, на первой машине из под красной учетки подкидываю принтер, ставлю драйвера - все работает, захожу в доменную учетку - все работает.
На второй машине захожу под красную учетку по протоколу IPP, сканирую сеть, нахожу машину с принтером, добавляю принтер, ставлю raw драйвер - все работает, захожу в доменную учетку - все работает.
Запускаю континент ввожу компы в домен - принтер больше не печатает (как и локальная сеть)
На машине с принтером в cups доступ открыт. Принтер подключаю по протоколу интернета и именно по ip локалки, понимаю, что возможно в этом затык, но по доменному имени компа принтер не находит.
На машинах с windows подобное решал сняв чек бокс с Continent 3 MSE Filter в настроках адаптера, как решить эту задачу на Астре?
P.S. При установке на машинах security boot отрублен.
 

oko

New member
Сообщения
187
#2
*в сторону*
Зафиксирован перегрев модулей экстрасенсорики и семантического анализа... Ждите... Ждите...

to DVMakc
У меня встречный вопрос: если вы в Win отключали драйвер фильтрации Континент-АП, то нахрена он вам вообще нужен, что в Win, что в Astra? Ради VPN, наплевав на правила пользования и требования эксплуатации?
И, кстати, корень вашей проблемы именно в фильтрации трафика средствами Континент-АП. Как она там под nix реализована - не в курсе, но советую копать именно в эту сторону...
 

DVMakc

New member
Сообщения
9
#3
Вот так ответ :)
Вы наверное когда задавали вопрос "то нахрена он вам вообще нужен, что в Win, что в Astra? " искренне верите, что все это ставится в гос конторах по доброй воле? Удачного дня Вам!
 

oko

New member
Сообщения
187
#4
to DVMakc
Я верю в здравый смысл и целесообразность...
И оный здравый смысл подсказывает, что целесообразнее не задавать вопрос сообществу в стиле "мне нужно поставить СЗИ, но как его потом отключить, чтобы все работало?", а разобраться в документации на тот же Континент-АП под nix и правильно настроить систему фильтрации трафика в нем. Еще раз повторю - в этом корень ваших бед в части сетевых принтеров (и не только)...
 

DVMakc

New member
Сообщения
9
#5
to oko
Я понял Вашу позицию еще по первому сообщению (Как она там под nix реализована - не в курсе), можно было больше не писать, спасибо за ответ. Подожду тех кто в курсе :)
 

Montfer

New member
Сообщения
553
#6
to DVMakc
Я верю в здравый смысл и целесообразность...
И оный здравый смысл подсказывает, что целесообразнее не задавать вопрос сообществу в стиле "мне нужно поставить СЗИ, но как его потом отключить, чтобы все работало?", а разобраться в документации на тот же Континент-АП под nix и правильно настроить систему фильтрации трафика в нем. Еще раз повторю - в этом корень ваших бед в части сетевых принтеров (и не только)...
Например, на форуме сэдказна, эту фигню советовали отключать, чтобы было подключение и к суфд, и к интернету с ЛВС. Возможно, ТСу и нужен подобный усеченный функционал.

В связи с чем и советую задать вопрос на том форуме. А если там не помогут, писать в код безопасности.
 

DVMakc

New member
Сообщения
9
#7
Например, на форуме сэдказна, эту фигню советовали отключать, чтобы было подключение и к суфд, и к интернету с ЛВС. Возможно, ТСу и нужен подобный усеченный функционал.

В связи с чем и советую задать вопрос на том форуме. А если там не помогут, писать в код безопасности.
Спасибо, именно "усеченный функционал" меня бы вполне и устроил.
Разрабам в код безопасности писал, суть такая, что по помощи в первой линии они помочь не могут, а чтобы инженеры помогли требуют код технической поддержки, которой естественно у меня нет, т.к. это стоит денег и видимо централизованного заключения договора.
В казну звонил, они на Linuxе (пока) не работают и помочь не могут. В данный момент сижу на форуме сэдказны изучаю :)
 

oko

New member
Сообщения
187
#8
*в сторону*
Принцип "не мы такие - жизнь такая" набивает оскомину и дает некислую обратку в 90% случаев...

to DVMakc
Напоминаю, что Континент-АП - сертиф.СКЗИ по линии ФСБ. И вне зависимости от класса его защищенности можно получить отличное вливание клизмой с грамофонными иголками за нарушение условий эксплуатации. Лучший выход в вашем случае - довести эту мысль до владельцев денежных средств, зажавших бабло на техподдержку. А далее уже юзать официальное решение от Кота-в-Безопасности, чтобы часть ответственности перетекла на разработчика. Поймите правильно, я тоже не разделяю идею "реализуем VPN путем засовывания в него всего трафика, а посторонний отбросим", как это сделано в Континент-АП. Но порядок есть порядок. Вне зависимости от формы собственности, ага...
И да, выхлоп ifconfig, route и iptables-save покажите академического интереса ради при включенном соединении с Сервером доступа. Искренне сомневаюсь, что разработчик реализовал собственный драйвер фильтрации и перенаправления трафика для nix (с другой стороны, с iplir от ИнфоТекс играться получается, почему бы и тут не попробовать)...

to Montfer
...на форуме сэдказна, эту фигню советовали отключать...
Печаль заполняет сердце усталого безопасника... :)
 

DVMakc

New member
Сообщения
9
#9
Новые вводные, написали с "Кода безопасности" информацию, что установку Континента необходимо устанавливать с отключенным пунктом security boot в биосе, по большому счету это не помогло, т.к. у меня они и были отключены, но я все же решил проверить на других машинах с Астрой и на двух континент локалку не резал оО.
Устанавливал софт я лично на все одинаково, так же пробежался по настройкам адаптера, везде все одинаково настроено, в iptables 0 созданных правил, netstat -rn маршрутизацию на всех машинах тоже показывает идентичную за исключением локальных ip. Вот такие чудеса.

to oko
Как и написал выше в iptables правил не создано, маршрутизацию прикрепил если вдруг интересно, извиняюсь за качество.
 

Вложения

  • 159.4 КБ Просмотры: 26

oko

New member
Сообщения
187
#10
to DVMakc
Хотел поиграться с Континент-АП под Astra Linux, но дальше запроса на сертификат откровенно идти не хочется тем более в Росказну...
Перенаправление трафика в tun0 происходит вне зависимости от статуса профиля? Если так, то это косяк Кота-в-Безопасности. Если нет, то что вам мешает юзать шаренные принтеры при отключенном VPN?
Есть еще вариант поиграть с цепочкой prerouting, в которой указать адресацию вашей внутренней сети и, собственно, передачу на eth0 в явном виде. Отсутствие правил в iptables, кстати, весьма странно - неужто они реально влезли в сетевой стек Linux в обход классического инструментария? В таком варианте игры с iptables не очень помогут...
Впрочем, были бы сертификаты и ключи валидные, проверил бы...

Главный вопрос: на каком этапе создается tun0? При создании первого профиля для любого пользователя или на этапе подключения к Серверу доступа?
 

DVMakc

New member
Сообщения
9
#11
to oko
На машине в конечном итоге имеем три учетных записи: 1. root, 2. красная, 3. Локальная, либо доменная (не все ввел домен, пока еще терпит). Туннель создается на этапе подключения к серверу, при этом на машинах (под любой из учетных записей)где режется сеть даже банально не дает пользоваться командой ping (ping: sendmsg: Операция не позволена), так же не пускает в cups по адресу 127.0.0.1:631.
На двух машинах где не режется сеть все это продолжает работать. Я сперва подумал, что это связанно с доменной политикой (прососалась на ПК), но и на без доменных так же.
 

DVMakc

New member
Сообщения
9
#12
Проблема решена. Банально оказалась в пользовательских сертификатах до 2019 года. Они были выпущены в виде конфигурационных файлов, а потом по средствам csp импортированы на линукс машины. Как раз пришли на новых пользователей и проблема прояснилась.
 

oko

New member
Сообщения
187
#13
to DVMakc
Вы мне так модуль экстрасенсорики поломаете нахрен...
Как могут быть сертификаты связаны с подтяжкой tun0 и перенаправлением трафика? Как они вообще могут быть созданы в виде конфиг-файлов? Скиньте образец, любопытства ради...
И кстати, правильно понимаю, что раз tun0 апается только при подключении к Серверу доступа, в периоды его неиспользования любые проблемы с сетью пропадают?
 

DVMakc

New member
Сообщения
9
#14
to oko
На виндовозных машинах в континенте можно создать соединения в ручную, а можно с помощью 1 файла в котором будут серверный, головной, юзера сертификаты и нужный ip адрес подключения (расширение у файла не могу сейчас назвать, не на работе), и соответственно в континенте есть пункт установить соединение из файла, поэтому в "образце" по большому счету смотреть не на что, просто все в куче.
В Астре такого пункта нет, поэтому с помощью "Код безопасности csp" импортировал контейнер на флешку, сертификат юзера брал с реестра, а головной и корневой у вышестоящей организации.
Сейчас на собранный пакет документов по новому возвращают три файла (все сертификаты).

И кстати, правильно понимаю, что раз tun0 апается только при подключении к Серверу доступа, в периоды его неиспользования любые проблемы с сетью пропадают?
Верно, так и было со старыми сертификатами. Я могу только догадываться, но при создании сертификата центром выдачи, возможно резались права пользователя или что то подобное.
Хотя таблица маршрутизации и со старым и с новым осталась прежней. Вообщем проблема решена, гадать не буду.
 
Последнее редактирование:

oko

New member
Сообщения
187
#15
to DVMack
Что ж, хорошо, что хорошо заканчивается...
Все же, если файл не криптован и не содержит чувствительных данных (как я понимаю, там просроченные сертификаты) - сможете скинуть его (который конфиг-файл+сертификат)? Любопытно взглянуть, что же там внутри...
Кстати, Континент-АП какой версии? В 3.7 не заметил возможности что-либо через 1 файл импортировать: сертификаты отдельно, мухи конфигурации отдельно...